Bjarne Nielsen

Ikke-digitale borgere dømt skyldige uden at vide det: Automatiske tilståelser udfordrer retssikkerheden

Hvis en ikke digital borger får et rekommanderet brev som vedkommende ikke ser fordi vedkommende ikke bruger e-boks, så må afsender sende et fysisk brev eller gøre noget andet for at sikre at brevet modtages modtageren.

Husk på, at postvæsenet kun virker for pakker. Breve kan tage i omegnen af to uger om at komme frem. Det betyder oftest, at fristerne er overskredet, f.eks. hvis du indkaldes til samtale. Og møder du ikke op, så falder hammeren. Eller rettere, når du læser brevet, så er ofte hammeren faldet.

Hvis man da i det hele taget har en postkasse, og man kommer forbi den jævnligt. Det er ikke altid tilfældet.

5. august 2021 kl. 09:38
Ikke-digitale borgere dømt skyldige uden at vide det: Automatiske tilståelser udfordrer retssikkerheden

Det virker mere og mere til, at vi har lavet os et 80/20 samfund. Bare de 80% har det bekvemt, så til helvede med de sidste 20%; bliver du for dyr til Kbh, så kan du få hjælp til at flytte til udkantsdanmark.

Det her beskrevne er helt absurd, men jeg er egentlig ikke overrasket.

Et sted, hvor kæden hoppede af, var da man betragtede en besked som læst, når den var registeret som modtaget i den centrale database. Med fysisk post antog man at beskeden var modtaget, når den var afleveret til modtageren, og det var sikkert af rent praktiske årsager - det er ret svært at se, om modtageren nu også læser beskeden. Men det er ikke bare muligt med elektroniske beskeder ... det er endog ganske nemt. Men det ville så lægge byrden på den stærke part, for at sikre at beskeden ikke bare er aflevet, men også modtaget, og det var den stærke part åbenlyst ikke interesseret i. Så hellere kaste de i forvejen udfordrede helt ind under bussen.

Men symptomatisk er det, at det er en kæde med mange led, og at ingen har haft (eller måske ikke engang prøvet på at få) det store overblik. Vejen til et trælst sted er efter sigende brolagt med gode undskyldninger, og det gælder nok også for tilsyneladende små og uskyldige justeringer mest til fordel for de 80%.

Et andet eksempel: For at få penge (f.eks. nødhjælp fra kommunen), skal man have en bankkonto. For at få en bankkonto skal man have en adresse. For at kunne få en adresse, skal man betale husleje (bl.a. fordi at husleje-kvitteringerne skal bruges som dokumentation for adressen). For at betale husleje, skal man have penge (og ofte også en bankkonto, for kassen er nedlagt, tilmeld dig istedet betalingsservice eller betal via netbank).

Det er kompliceret nok, hvis man allerede er nogenlunde flyvende, men prøv så lige at komme i luften igen efter en hård mavelanding!

Og så snakker man også om at afskaffe kontanterne. Fordi sort arbejde ... eller noget.

5. august 2021 kl. 09:35
Efter barsk kritik: Danske Bank sletter kontroversiel nummerliste

Man tænker uvilkårligt – har de ikke en (IT)sikkerhedsafdeling, som varetager/rådgiver om den slags?

En bank som Danske Bank har helt sikkert en velfungerende IT-sikkerhedsafdeling. De er ikke alene et attraktivt mål, de har også ting som Finanstilsynet og PCI complience at tumle med.

Der er dog to ting at sige til det:

  • selv verdens bedste sikkerhedsafdeling komme til kort (i hvertfald i første omgang), hvis de ikke bliver taget med på råd.
  • bankens sikkerhedsafdeling har bankens sikkerhed for øje. Finanstilsynet vil også i første omgang have systemisk sikkerhed for øje, og PCI kortudstedernes sikkerhed (så kortoplysninger er svjv. betydeligt bedre sikret end transaktionsdata). Kundernes sikkerhed kun mere indirekte.

Hvilket måske kan forklare forløbet. Det har nok ikke været i fokus på samme måde som resten af sikkerheden, fordi der kun var tale om gode råd til kunderne om deres sikkerhed.

Derudover synes jeg, at det måske også siger lidt om, hvor vanskeligt det er at forstå den digitale verden. For selv meget store, professionelle virksomheder.

Ja. Som ofte har en sikkerhedsafdeling. Hvor rundt omkring i f.eks. det offentlige eller i forskerkredse er det mon tilfældet? Eller har den lokale IT-pedel mon fået endnu en titel til visitkortet, og ellers besked på at holde sig til netværk og firewalls?

Jeg synes i hvertfald tit at vi, når det igen går galt, hører vendingen, at der var tale om et usædvanligt og overraskende professionelt angreb, mens mange andre mest bare ryster på hovedet.

Så vi bør generelt spørge os selv om der hos dem, som forvalter vores personlige og følsomme data på vores vegne, og ofte uden at behøve vores tilladelse:

  1. I der hele taget er en egentlig sikkerhedsfunktion?
  2. At den er kompetent og prioriteret?
  3. At den inddrages på forhånd og i fornødent omgang?
  4. At den har ledelsens opmærksomhed og respekt?
  5. Samt at den faktisk har vores sikkerhed for øje (eller er det i virkeligheden først og fremmest er institutionens eget rygte og virke, som har prioritet)?

Men der er selvfølgelig også forskel på, om det er almindelige menneskers penge eller bare udsatte børns ve og vel, som er på spil.

Hvordan er det mon så for Hr. og Fru Danmark? Den gamle dame?

Ja, alt for meget væltes også over på slutbrugerne, og når det går galt, så ender det ofte med at blive deres egen skyld. Fordi de troede på at banken ringede. For hvem forstår f.eks. telefonnettets finurligheder, krinkelkroge og fælder så godt som en Ritsholm? Ikke jeg. Slet ikke.

3. august 2021 kl. 20:00
EU vil dele sundhedsdata: Bekymret minister insisterer på, at data bliver i Danmark

Jeg ser ikke noget dilemma.

SSI, ja, her taler vi jo nærmest om en skandalemagnet. Ukrypterede CD'er på afveje, data om gravide på afveje, ja, fortsæt selv listen, det bliver ikke svært.

Og hvor "pseudoanonyme" bliver data?

Pseudonym er newspeak for personhenførbar (dog ikke i juridisk betydning - men den kan vi tage en anden gang).

Her er historien om, hvordan en katolsk præst kom i problemer pga. pseudonymitet (de var ikke klogere end de kaldte det "anonymitet") og overdreven tillid til den: https://arstechnica.com/tech-policy/2021/07/catholic-priest-quits-after-anonymized-data-revealed-alleged-use-of-grindr/ - og ja, som Bruce Scheier siger i en kommentar til sagen: "Location data is not anonymous. It cannot be made anonymous. I hope stories like these will teach people that." Og nej, jeg ved godt, at der ikke er tale om lokationsdata her, men der er tale om entropi i samme kategori - eller sagt på en anden måde, jo flere datapunkter der knyttes til et pseudonym, jo mindre bliver figenbladet, og det går hurtigt - langt hurtigere end folk, som ellers burde vide bedre tydeligevis tror!

"Pseudonymiseret" er blevet et feel-good ord uden indhold på linje med "videnskabsetisk kommite" og "væsentlig samfundsmæssig interesse". Jeg begynder at løbe, når jeg hører dem.

Men, som en forsker med forbindelser til, jeg tror at det var Novo, engang svarede mig, da jeg påpegede at tabet af tillid kunne få konsekvenser for vores åbenhed og dermed for forskning og os alle: "Vi skal nok få dig, når du bliver syg nok!". Suk, ja. Det minder om dengang jeg talte om biodiversitet med en landmand og fik svaret: "Korn har ikke brug for bier for at blive bestøvet". Nej, men er det virkelig en verden, som vi skal stræbe imod, eller er du lige lovlig kortsigtet og egoistisk der?

Hvis man skulle finde på naivt at forsøge at bruge nogle rettigheder, så gælder de nok tilfældigvis alligevel ikke i lige denne undersøgelse....

...og skulle de gøre alligevel, og mere end nogle ganske få prøver, så bliver reglerne straks lavet om. Det er sket før, det kan sagtens ske igen. Eller man laver en DAMD - "...vi har slettet vores data, men du må selv finde ud af, hvem, som de er delt med, og selv kontakte dem alle, hver især, for det har vi hverken ikke styr på eller tid til ... husk at spørge dem, om de ved, hvem de har delt med ... god fornøjelse!" DAMD, som iøvrigt ikke rigtigt blev stoppet - den blev lovliggjort og udvidet.

Så jeg har forlængst vænnet mig til bare at sige nej, hvis jeg skulle blive spurgt. Det sker så ikke ret tit, så det er ganske overkommeligt.

Men SSI og deres venner er nok allerede i noget, som ligner en sukkerrus over alle de rare data, som de har fået om os alle via corona-prøverne, så måske kan vi ligeså godt give op. De får os jo alligevel før eller siden...

3. august 2021 kl. 10:06
EU vil dele sundhedsdata: Bekymret minister insisterer på, at data bliver i Danmark

Ha, Niels, du sagde, hvad jeg tænkte.

Og hvis lige vi ignorerer, at når man deler en hemmelighed, så holder den op med at være hemmelig, og bliver i stedet til et rygte. Deler man den med hele Europa, så er den straks meget sværere at holde styr på, end hvis man kun deler den med egen læge og det sygehus, hvor man var indlagt. Og gad vide, hvad lommedespoter, som f.eks. Orbán, der lader til nærmest at føre krig imod den frie presse, vil kunne bruge det til?

Samt hvis vi lige ignorer hvor store problemer man efter sigende allerede har med forskellig registreringspraksis i det ellers høj besugne danske højkvalitetsdata. Det kan hurtigt blive et mareridt af misforståelser og fejlslutninger (selv det danske politi formår ikke at styre kvaliteteten af mastedata).

Ja, så vil jeg gerne tage afsæt i første afsnit:

En hollandsk læge på et hospital i Maastricht skal i fremtiden have lettere adgang til en bulgarsk patientjournal, og forskere på det italienske universitet i Padova skal nemmere kunne indhente og udforske sundhedsdata fra unionens borgere.

Hvis vi lige antager at den hollandske læge aktuelt rent faktisk har bulgareren i behandling, så er der rigtigt mange fordele at se her. For bulgareren og for alle os andre, som krydser grænser, både for at søge hjælp eller hvis vi uforvarende får hjælp behov.

Men så er fordelene for os langt mere diffuse ved at have forskere fra Padova, Prag eller måske Poznan til frit at rode rundt i vores sygdomshistorie.

Der er stor forskel på, om data udveksles brug konkret for egen behandling, eller til ikke nærmerne specificeret forskning.

Og, ihukommende det norske datatilsyns blog-indlæg for nogle år siden om udfordringer ved deling af patientdata, så er det en stige med flere trin, f.eks.:

  • egen behandling
  • kvalitetssikring og opfølgning på egen behandling
  • kvalitetssikring og videreudvikling af behandlinger indenfor eget sygdomsområde
  • sundhedsmæssig forskning på områder, som ligger fjernt fra egen situation
  • forskning, som ikke er sundhedsrelateret, f.eks. socialforskning

Jo længere væk vi kommer fra os selv, og vores egen situation, jo større må kravene til relevans og nytte og "væsentlig samfundsmæssig interesse" være.

Og vi vil nok hellere være med i projekter, som gavner almenvældet, som viden om malaria, som stilles frit til rådighed for alle, end hvis der f.eks. er tale om kommercielt udvikling af exclusiv hudcreme af tvivlsom betydning, og som nok kun bringer nytte for sælgerne.

Derfor løfter jeg også mere end et øjenbryn, når man uden at blinke putter egen behandling og forskning i samme kurv. Det virker useriøst.

2. august 2021 kl. 20:14
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Henrik (#56+#57), enig langt hen ad vejen. Jeg ville også ønske at det var en klarere retning imod et mere selvstændigt og selvsikkert Europa.

EU er til tider noget af at frankenstein-monster, især når nationalstaterne laver lokumsaftaler internt og med de stærke kommercielle særinteresser. Men i puralismen og fællesskabet er også en stor styrke, og når der opstår konsensus efter dialog, så sker der ting og sager. Der er så mange vigtige dagsordner for tiden, hvor kun EU er i en vægtklasse, hvor der kan gøres en reelt forskel.

Jeg kan personligt godt blive ret utålmodig, og især med vores hjemlige politikere ... men det tager nok tid at finde holdbare og fælles løsninger.

Det ER altså lovgivningsarbejde af værste skuffe og det er ikke rimeligt, at bede europæiske virksomheder og organisationer om at skulle navigere i.

Til gengæld virker det til at være resultat af heftig lobbyisme. Jeg er ret sikker på, at det ikke kun er europæiske virksomheder og deres organisationer, som står bag, men de kan ikke løbe fra et ganske betydeligt medansvar.

30. juli 2021 kl. 17:31
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Interessant nok, kan mange af tingene fra EULA proportionalitets-problematikken overføres til GDPR og overførselsgrundlag ... EU kommissionen og EDPB har som den stærke part lavet et ultra snørklet regelset som skaber en usikker retstilstand for alle virksomheder i EU og som reelt set ikke kan forstås af nogen ... denne debat som et godt eksempel.

Det har jeg meget svært ved at genkende, men nu har jeg så også kun læst GDPR, og en række af EDPB udtalelser. Det virker både kort, klart og forståeligt.

Jeg orkede ikke læse den danske lovtekst, men jeg læste hovedparten af høringssvarene, og jeg kan konstatere, at flere af de gode svar som jeg læste, tilsyneladende ikke har fundet vej til den danske lovtekst (f.eks. er muligheden i artikel 80, stk 2 fravalgt i DK, hvad gør at interesseorganisationer ikke kan tage princippielle sager op af egen drift, men skal vente på at en borger føler sig tilstrækkeligt konkret krænkret helt personligt ... hvilket næppe har bidraget til at skabe overblik og ordnede og ensartede forhold - og også kan gøre af de mange uretfærdigheder hver sig ikke ikke er store nok, selvom de samlet set ville være).

Den danske lovtekst er vist også blevet betydeligt længere (hvad man ikke rigtigt kan klandre EU og GDPR for). Jeg sidder personligt tilbage med en fornemmelse af, at man grundlæggende set var uenig ... og så er det måske nok ganske vanskeligt at formulere sig kort og klart.

KLs såkaldte "40 benspænd" fremstod også for mig mest som om at KL havde gjort sig stor umage med at falde over sine egne ben, og det derfor kom til at fremstå polemisk. Datatilsynets svar var - som altid - høfligt, men der findes kejsere, som stod tilbage med mere dækkende tøj, end det KL endte med at have på. Det næppe bidraget til den generelle forståelse for GDPR, og det har vi kun KL at takke for.

Safe Harbour og Privacy Shield har næppe heller gavnet noget, selvom det både var tydeligt, at der ikke var fugls føde at finde der, hvilket også fremgår klart af dommene. Det har heller ikke bidraget til opfattelsen af GDPR, men igen, her er det ikke GDPR, som er problemet.

Der er mange flere eksempler, så jeg efterlades altså med den opfattelse, at mange af dem, som angiveligt har så svært ved at forstå GDPR, og med at forstå at persondata ikke må behandles lemfældigt, i virkeligheden mangler viljen til at forstå det for dem ubekvemme budskab. Og hvis man mangler viljen til at ville forstå, så kan man godt nok skabe megen forvirring, selv om ganske simple regler. F.eks. ved igen og igen at bede om vejledninger eller forklaringer, når de vejledninger og forklaringer man får, ikke lige passer en.

...Safe Harbour, Privacy Shield, SCC, etc. etc. Hold nu op med, med den ene hånd igen og igen at kaste unødigt støv op, og med den anden klage over manglende klarhed.

30. juli 2021 kl. 16:46
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Jeg er dog ikke alene om at betale den 'regning', men får hjælp af EUs 'præsident' ... eller mere korrekt, formanden for Det Europæiske Råd, Charles Michel, som i sin tale: "Digital sovereignty is central to European strategic autonomy" fra starten af i år, blandt andet siger:</p>
<p><em>It’s no longer acceptable, nor sustainable, that companies make huge profits in a market without paying taxes where they operate.</em>

Jeg indrømmer blankt, at jeg læste det i kontekst af GDPR, og det har jeg meget svært ved at se som et protektionistisk tiltag. Jeg har af forskellige årsager ikke formået at følge med i de seneste initiativer, men fornemmer at det nok godt kan være en omgang sammenkog ... hestekræmmerne har næppe ligget på den lade side.

Til gengæld adresserer Charles Michel der en helt reelt dagsorden om, at vi selvfølgelig ikke skal finde os i, at man gerne vil høste alle fordelene at et rigt og velordnet EU, men er forduftet, når regningen skal betales.

Vi kommer givetvis til at se mere af dette i fremtiden, f.eks. på miljøområdet, hvor man ikke vil finde sig i at blive udkonkurreret på ens hjemmemarked af virksomheder, som finder det opportunt at udnytte et oversøisk "race to the bottom".

En teknik er "border-adjusted taxation", og i det omfang, hvor det gælder for alle, så er det ikke en teknisk handelshindring: du vil f.eks. skulle betale CO2 afgift af din produktion i EU, men du er også velkommen til at flytte den udenfor, og i stedet betale den, når du eksporterer dine varer til EU.

Men jeg beklager, hvis jeg misforstod dig, når jeg antog, at du talte om GDPR.

30. juli 2021 kl. 16:12
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Vi bør holde en god tone ...

Ja.

... og hvis modparten opfatter ens indlæg som personligt, så siger man undskyld.

Nej.

Det afgørende her er sådan set ikke, om nogen føler sig krænket, men derimod om de har grund til det. Udover et enkelt ord, som jeg nok havde valgt at nøjes med at tænke, så er det synspunkternes karakter, og ikke personens ditto, som får en omgang.

Eksempelvist:

Hvis din virksomheds profitabilitet afhænger af lemfældig omgang med persondata eller dumping af giftigt affald, bør virksomheden lukkes hurtigst muligt.

Det er efter min mening et helt validt synspunkt, som jeg deler.

Havde der stået "Da din virksomhed...", så var det et konkret udsagn om en given virksomhed (og så kunne virksomheden med rette føle sig krænket), men når der nu engang står "Hvis din virksomhed...", så rammer det naturligvis ikke virksomheder, som ikke driver lemfældig omgang med persondata eller giftigt affald. Og jeg vil ikke opfatte et angreb på min virksomhed, som værende personligt, dertil har jeg al for lille samlet indflydelse og ansvar ... men jeg ville måske nok være klar til imødegå evt. misforståelser.

Det sagt, så havde jeg nok prøvet at formulere mig anerledes (der er tidligere røget et par finker af min pande, så jeg skal ikke gøre mig hellig).

30. juli 2021 kl. 16:05
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Baldur spørger ind til GMail, og Jens Peter Olesen (o.a) svarer ovenfor på, hvad der er ret (jeg skal passe sådan på med at udlægge lovtekster, men jeg deler deres opfattelse).

Men Baldur går videre og spørger, hvad der er rimeligt:

Problemet er Google. Må Google behandle en borgers data? Ja som brugere af gmail har vi sikkert klikket ja til en eller anden uforståelig juridisk tekst, men er det nok? Derfor spurgte jeg om myndighederne burde lukke ned for gmail for man kan ikke antage at flertalet af brugerne har forstået og givet det nødvendige samtykke.

Lad os tage samtykket først. Ideen med samtykke er, at den stærke part informerer den svage om konsekvenserne på en fyldestgørende og forståelig måde, så den svage part kan foretage et reelt og informeret valg. Det vil naturligvis afhænge meget af situationen og den svage part, f.eks. pålægger der den stærke part et særligt ansvar, hvis der er tale om børn, pressede situationer, ugennemskuelige forhold og/eller mærkbare konsekvenser.

Om lovene udformning lever op til det, vil jeg lade bedre kvalificerede kloge i, men jeg savner eksempler på, at samtykker (og EULAer mv.) bliver underkendt, fordi de må forventes, selv efter rimelig og forventelig indsats, at være uforståelige for den samtykkende (apropos EULAer - var der ikke en sag for ca. 12 år siden, hvor det at man som særlig kyndig var i stand til at læse og forstå teksten, blev udlagt som om, at man handlede i ond tro, og derfor populært sagt selv var ude om det? Noget af en catch-22, hvis I spørger mig).

Sålænge man slipper godt fra at kunne forpligte almindelige mennesker med tekster, som er så kringlende, at selv de bedste juridiske hjerner kan bruge lang tid på at diskutere den reelle betydning, ja, så bliver de ved. I samme øjeblik at deres juridiske skinmanøvrer blev underkendt, så bliver teksterne forståelige ... men ikke et øjeblik før. Og det er kun rimeligt, at lægge de største byrder, herunder arbejdet med at undgå misforståelser, på den stærke part; en part, som sidder på "en"-siden af et en-til-voldsomt-mange forhold, og derfor relativt set har langt bedre tid, og en part, som ivøvrigt må forventes at have al den nødvendige tid til at forberede sig, samt mulighederne for at trække på det rette kompentencer og ressourcer. Plus at det i det hele taget kun er rimeligt, at den, som vil opnå noget, også skal forklare sig ordentligt.

Den engelske-sprogede wikipedia-artikel om samtykke har flg. formulering:

As an example, a 2020 study, showed that the Big Tech, i.e. Google, Amazon, Facebook, Apple, and Microsoft (GAFAM), use dark patterns in their consent obtaining mechanisms, which raises doubts regarding the lawfulness of the obtained consent.

Studiet, som Wikipedia henviser til, er denne PDF: https://epub.wu.ac.at/7523/1/HCIS2020_A%20Human-centric%20Perspective%20on%20Digital%20Consenting_The%20Case%20of%20GAFAM_Soheil%20Human_Florian%20Cech.pdf - som iøvrigt har mange betragtninger omkring brugen af samtykker, og mange andre gode henvisninger til yderligere information om emnet.

Derefter er der det (retoriske?) spørgsmål om myndighedernes ansvar: Her er min mening klart, at der påhviler samfundet (og dermed myndighederne) et særligt ansvar for at beskytte svage parter imod stærke parters overgreb (det betyder ikke, at den svage part er ansvarfri eller skal pakkes fuldkommen ind i vat - men alene det, at der er tale om svag part implicerer en for den svage part potentielt umulig og urimelige situation - og det er har, at der skal trædes til). Det gælder også ved åbenlyse forsøg på bondefangeri. Om GMail så kan lukkes, tja, mindre burde kunne gøre det, og man bør nok først prøve at vise, at man har muskler at spille med (tja, givet hele GDPR diskussionen iøvrigt, så kan jeg godt se, at det nok er et naivt håb). Der kan også være andre grunde til at tage fat i Googles vingeben; f.eks. betyder det, at noget er "gratis", ikke at det er uden omkostninger: https://www.yalelawjournal.org/note/amazons-antitrust-paradox

Det næste er afsendernes rettigheder. Det kan godt være at modtageren har det fint med at Google sælger alt i hans gmail inboks til NSA. Men hvad med ham der har sendt en email til en gmail adresse, har afsenderen accepteret at blive solgt til NSA?

NSA er ikke den eneste part her. Selvom Google antageligvis betragter deres viden om os som forretningshemmeligheder, og derfor hellere vil sælge retten til at lade andre bruge den imod os, end de vil opgive magten over oplysningerne selv, så er det vist både velkendt og veldokumenteret, at NSAs indsamling af oplysninger flyder videre til allehånde andre amerikanske myndigheder, og at selv USAs egne statsborgere de facto er retsløse i denne sammenhæng. Læg dertil, at spionage mindst lige så meget er industrispionage rettet imod venner og allierede, som det er "almindelig spionage" rettet imod terrorister og slyngelstater.

Men ja. Google er med på en lytter, når vi skriver til nogen med en GMail. De er også med på lytter, når nogen med en GMail skriver til os. Og nej, det synes jeg ikke er rimeligt. Slet ikke. Det betyder da også, at jeg tænker mig om flere gange, inden jeg skriver til nogen med GMail, og det betyder, at jeg tænker over, hvad det jeg siger, siger om mig (og om dem), og om ikke det bør vente til vi måske mødes. Der er en chilling-effect, og det kan ikke være rimeligt. Og her bondefanger man også dem, som ikke ved bedre, eller ikke tænker sig om. Mail kunne være så meget mere, hvis det ikke var blevet perverteret af Google m.fl.

Og ja, jeg har da en GMail adresse selv. Den er fra dengang af, hvor Google var nørded-nuttede, og deres motto var "Do no evil". Jeg begyndte at søge alternativer, da de ikke længere ville afskrive sig viljen til ondskab, men istedet fik "Gør det rigtige" som motto, uden at komme ind på, i hvis interesse de så handlede - næppe vores. Og nej, den er ikke slettet, måske fordi at vi som mennesker er sociale dyr og derfor nemt gribes af FOMO; hvad nu, hvis der er nogen ikke har opdateret deres adressebog eller bare svarer på en (æld-)gammel mail, og jeg ikke får beskeden? Irrationelt som bare pokker, men det er også i det krydsfelt, at vi skal forstå samfundets ansvar; selv vi, som ellers burde vide bedre, kan også have brug for hjælp.

30. juli 2021 kl. 09:15
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

EU er gået i selvsving i et vanvid af juristeri som i virkeligheden ikke handler om privacy, men om at flytte omsætning, viden og udvikling tilbage på europæisk grund, hvilket kan være sympatisk nok, men som her bliver gjort på den mest groteske måde.

Den fortolkning må vist stå for din egen regning. Her er lidt af, hvad der blev skrevet i Washington Post, den 25. maj, 2018 (jeps, på GDPR-dagen):

U.S. and European corporations originally had a lot of influence over the lawmaking process that led up to GDPR, and it seemed likely they would use it to strengthen their grip over your data. Ultimately, European consumer advocates pushed back and flipped the lobbying script. Their success relied on an unexpected foreign ally: Edward Snowden.

... og ...:

Although European corporations generally saw the GDPR as modernizing privacy rules, American lobbying pushed them to view reform as an opportunity to chip away at laws that hurt their bottom lines. The emerging drafts of the regulation quickly began to mimic the recommendations of companies like Microsoft, Amazon, and Facebook, with members of the European Parliament literally copy-pasting corporate lobbying positions into the draft legislation as new amendments.

Men så ramte Snowdens afsløringer, og det rev sløret af noget, som ellers tegnede til at blive en vanlig lokumsaftale i tilrøgede mødelokaler med teknokratiske og uforståelige alenlange dokumenter. Pludselig blev gardinerne trukket fra og lyset skinnede ind - og det blev tydeligt, hvad der var ved at ske, og at vi (igen) var ved at blive løbet om hjørner med.

It’s a problem for European institutions to be captured by European business, but it’s a disaster to be seen as controlled by foreign corporations. Even European corporations were tainted by association – they were seen as having become allies, or even tools of big U.S. tech companies.

Rigtigt godt blev det aldrig, for voldsom udefrakommende lobbyisme formåede at ødelægge meget.

Hvorfor? ...vil du måske spørge? ... fordi EU privacy ikke er koblet sammen med erstatningsretten. Når nogen bruger dine data til formål du ikke har givet tilladelse til så er det staten der via Datatilsynet har påtaleretten og som indkasserer eventuelle erstatninger i form af bøder.

Ja, her er vi langt hen ad vejen enige (også med Snowden): det er en parodi, at man har fået lov til at udhule og sabotere reglerne, og at trække den ene sag efter den anden i langdrag, med i stigende grad absurde retssager, hvor de store og især amerikanske virksomheder får lov til igen og igen at kaste grus i maskineriet. Absurd bliver det, når det, som set i Schrems II sagaen, endda er det Irske datatilsyn selv, som finder på absurde undskyldninger og omveje på vegne af sagsøgte - det er som om, at de myndigheder, som burde varetage vores interesser, fører sagen imod os på vegne af modparten.

Hammeren burde for længst være faldet, og langt mere konsekvent.

Det er derfor at føje spot til skade, når de, som i den grad er lykkedes med at sabotere GDPR, nu også kalder den virkningsløs og ubrugelig. Ja, det har I så sørget for med jeres sabotage og antageligvis lovstridige adfærd (der er i hvertfald flere domme, som prøver at skære det ud i pap og bøje det i neon), med aktiv medvirker af medløbere, som har travlt med at løbe amerikanske virksomheders og stats ærinde. Tak for ingenting!

For hvis man kritiserer GDPR for at være virkningsløs pga. fraværet på effektiv håndhævelse, så må svaret være, at få sat gang i noget effektiv håndhævelse. Og det kan kun gå for langsomt.

Og hvis amerikanske virksomheder har et grundlæggende problem med at opføre sig anstændigt overfor deres kunder, ja, så har amerikanske virksomheder et grundlæggende problem. De bestemmer sådan set selv, om de vil spille efter reglerne og være med - for vil de ikke det, så kan de holde sig væk.

29. juli 2021 kl. 21:24
Datatilsynet efter endelige Schrems II-anbefalinger: »Rummet for at overføre persondata til USA er meget snævert«

Efter min mening, så står vi her igen med et eksempel på at regler er værdiløse uden håndhævelse; hvis ikke politiet var ude med bødeblokken, så ville der hurtigt bliver anarki på vores veje!

Og her retter jeg ikke skytset imod Allan eller Datatilsynet; det er åbenlyst, at en lang perlekæde af politikere og andre beslutningstagere, gående lige fra vores lokale sogneråd på Christiansborg, over ministerråd og kommission, og videre til især Irland, som har haft utroligt travl med at skynde sig langsomt, for ikke at sige, direkte sidde på hænderne.

Hvis ikke man snart får skeen over i den anden hånd, så har vi fået løst klimakrisen, biodiversitetskrisen og fundet en kur for cancer først.

29. juli 2021 kl. 09:35
Danske forskere: IoT-data kan invadere privatlivet

Mulighed for at afregne med elpriser der varierer med spotprisen eller på anden vis varier efter tidspunktet.

Ja, der er jo nok en fiks ide om, at man kan flytte rundt på forbruget ved at variere på priserne. Men den kæde hopper jo i praksis nok af på flere steder, f.eks. ved manglende gennemskuelighed og manglende prisfølsomhed.

Hvis man virkelig ville noget i den retning, så skal det ikke forbi en obskur hjemmeside hos et vilkårligt selskab, så skal der laves standarder, som muliggør realtidsovervågning lokalt og fremme standarder for automation for store strømslugere. Men aftensmaden, lyset i stuen, computeren og TV'et er nok ikke noget, som man udskyder til midt om natten for at spare nogle håndører.

Det er nok i virkeligheden målerfabrikanterne, som har vundet på dette.

Iøvrigt kan det gå grueligt galt, hvis man er alt for en-øjet markedsorienteret: https://en.wikipedia.org/wiki/2021_Texas_power_crisis:

During the crisis, some energy firms made billions in profits, while others went bankrupt, due to some firms being able to pass extremely high wholesale prices ($9,000/MWh, typically $50/MWh) on to consumers, while others could not ....

Heldigvis er der intet, der tyder på, at vi vil indrette os lige så tåbeligt som Texas.

Andre har påpeget at dette kunne være opnået uden at overføre så meget data, men nu har folketinget altså vedtaget denne løsning i en lovtekst.

Man kunne være kommet langt lovgivningsmæssigt ved at lave en bestemmelse om, at der ikke må opsamles data med korte intervaller, end hvad forbrugerens abonnement kræver. Er der månedlig afregning, så er det en total en gang om måneden. Er der særpris for "kogespidsen", f.eks. imellem 17 og 20, så kan det løses med to lokale tælleværker og et ur - det er vist ikke nogen uoverkommelig ingeniørmæssig udfordring? Der er ingen afregningsmæssig grund til at elselskabet skal snage i, hvordan forbruget varierer på en måde, som tyder på weekendkæresteri.

Ironisk nok så er det måske på grund af GDPR. ... Dermed var folketinget nødt til at vedtage en konkret løsning og lovliggøre denne.

Det er en logik på linje med: "Jeg er nødt til at slå dig, hvis du er uartig". Det er vi heldigvis for længst kommet ud over i andre sammenhænge. Vores politikere har vist afsøgt alternativerne med lige som stor ihærdighed, som Nelson, da han efter sigende sætte kikkerten for det blinde øje ved Slaget på Reden.

Jeg efterlades stadig med indtryk af, at man er startet med en "løsning", og så ellers har regnet sig baglængs.

29. juli 2021 kl. 09:15
Danske forskere: IoT-data kan invadere privatlivet

HVIS det er tilfældet, så falder det under GDPR, da de så indsamler mere/anderledes end de behøver på en måde der invaderer borgeres privatliv.

Jeg er ikke jurist, så tilgiv mig, at jeg undrer mig over, at GDPR kan bruges på den måde. Jeg troede at anden lovgivning altid spillede GDPR af banen. Interessant.

Men uanset, så lugter hele dette måler-cirkus om en alt for specifik lovgivning. Som når kunder fortæller hvad de vil have, i stedet for at fortælle om, hvad de har behov for. Hvad var det lige at man ønskede at opnå med disse privatlivsudfordrende el-målere?

Og hvis der vitterligt findes alternative løsninger, som kan opnå det samme eller bedre, men som bliver forhindret af den konkrete lovtekst, så bør vi fortælle vores folkevalgte, at det er en ommer (og at de måske skal overveje, om de har lyttet til de rigtige råd i første omgang).

28. juli 2021 kl. 21:50
Sikkerhedseksperter: Danske Bank hjælper spoofing-svindlere

Og telebranchen tjener penge på at sælge den løsning til virksomheder, såsom samme call centre. Så de vil også gerne beholde den. Call centre vil beholde den.</p>
<p>Tilbage står alle almindelige mennesker og virksomheder, som risikerer at blive snydt eller få misbrugt deres nummer til svindel og derfor blive uberettiget hængt ud eller blokeret via offentlige black lists.

Det lyder som et klassisk eksempel på en markedsfejl: aktørerne optimerer deres egen situation, men samlet set er løsningen suboptimal. De finder ikke selv ud af det lokale extrema, for de kan ikke se ud over egen næsetip, så der må samfundet træde til og sætte rammer - for det fælles bedste.

Men jeg hæfter mig nu mere ved, at de "gode" råd om sikkerhed kommer fra kant, som burde tage sikkerhed meget alvorligt, men tydeligvis ikke har forstået, hvad der er op og ned i trusselsbilledet.

Det er desværre ikke usædvanligt at se, hvordan der er en sikkerhedsmæssig Dunning-Kruger effekt: jo mindre man ved som sikkerhed, jo mere tror man på, at ens egne løsninger er sikre. Jeg har været udsat for interne kurser i, hvordan man spotter fishing-mails, hvorefter topledelsen kort efter udsender noget, som giver næsten fuld plade. Ellers skal man ikke læse længe her, for at finde eksempel efter eksempel på, at folk er betroet beslutninger om sikkerhed på vores vegne, som de ikke burde være. Tag f.eks. de to ukrypterede CD'er med hele den danske befolkning inkl. psykriatiske diagnoser sendt forbi et kinesisk visum-kontor. Sikkert ganske bekvemt, og nok også en ganske pragmatisk og billig løsning, men sikker kan man ikke just kalde den.

Vi er prisgivet usikre løsninger, som vi ikke kan undsige os, administreret af ledere, som er langt bedre til at se muligheder end problemer, og som stoler for meget på deres egne evner. Suk.

Og så kan du jo bede den pågældende om et nummer at ringe tilbage til.

Hvis man ikke kan stole på det nummer, som bliver ringet fra, hvorfor skulle man så stole på det nummer, som vedkommende oplyser en?

28. juli 2021 kl. 21:39
Danske forskere: IoT-data kan invadere privatlivet

Husk at S'et og P'et i IOT står for hhv. security og privacy.

27. juli 2021 kl. 19:45
Video: Internetaktivisten bag Europas cloud-hovedpine gør status et år efter dommen

Her et link til en video fra NOYB, hvor Max Schrems gør status et år efter "Schrems II": https://noyb.eu/en/statement-max-schrems-schrems-ii-anniversary

Det er muligt, at der er tale om samme video som i artiklen - det kan jeg ikke vide, da jeg lider af funktionel cookie allergi, og derfor generelt afviser cookies, og siden åbenbart er for handicappet til at fungere uden (det er i hvertfald, hvad den selv siger):

Dette indhold kan kun vises hvis funktionelle cookies er accepteret.</p>
<p>Klik for at opdatere samtykke

16. juli 2021 kl. 18:55
Udenrigsministeren kalder EU's genopretningsmilliarder for en historisk mulighed for danske virksomheder

Pengene …

Pengene overføres fra de lande i Nordeuropa kommuner i Nordsjælland hvor befolkningerne arbejder meget og betaler meget i skat.

De gives til landene i Sydeuropa kommunerne i Sydsjælland hvor man arbejder mindre, og ikke så gerne betaler skat.

Så, ja, det er vel penge vi sagtens kan klare os uden. Vi har jo arbejdet og betalt vores skat uden grund. Vi burde vel blive ligesom sydeuropæerne sydsjællændere.

14. juli 2021 kl. 09:54